e-Standard
- 28 ม.ค. 65
-
35610
-
การยืนยันตัวตน ตอนที่ 1 2FA คืออะไรทำไมใครๆก็พูดถึง
2FA ย่อมาจาก two-factor authentication คือการที่ผู้ใช้บริการทำการยืนยันว่าตนเองว่าคือผู้ใช้บริการจริง โดยการแสดงว่าตนครอบครองสิ่งที่ใช้ยืนยันตัวตน (authenticators) ที่มีปัจจัยของการยืนยันตัวตน (authentication factor) จำนวน 2 ปัจจัยที่แตกต่างกัน โดยปัจจัยของการยืนยันตัวตนแบ่งออกเป็น 3 ประเภท ดังนี้
- สิ่งที่คุณรู้ (something you know) คือ ข้อมูลที่ผู้ใช้บริการเท่านั้นที่ทราบ เช่น username-password หรือ PIN code
- สิ่งที่คุณมี (something you have) คือ สิ่งของที่ผู้ใช้บริการเท่านั้นครอบครอง เช่น Sim card โทรศัพท์ อุปกรณ์บรรจุกุญแจเข้ารหัส (cryptographic device) หรืออุปกรณ์เฉพาะที่ใช้ในการสร้าง one-time-password (OTP device)
- สิ่งที่คุณเป็น (something you are) คือ ข้อมูลชีวมิติ (biometric data) ของผู้ใช้บริการ เช่น ใบหน้า และลายนิ้วมือ
ผู้อ่านบางท่านอาจเคยได้ยินถึงคำว่าการยืนยันตัวตนแบบหลายปัจจัย multi-factor authentication ที่หมายถึงการยืนยันตัวตนโดยใช้ปัจจัยของการยืนยันตัวตนสอง หรือสามปัจจัยดังกล่าว ไม่ต้องสับสนไปครับ เพราะการยืนยันตัวตนแบบสองปัจจัยก็คือรูปแบบหนึ่งของการยืนยันตัวตนแบบหลายปัจจัยนั่นเอง
การยืนยันตัวตนแบบสองปัจจัยที่พบเจอได้ในปัจจุบันโดยส่วนมากแล้วจะเลือกใช้ปัจจัยของการยืนยันตัวตนประเภทสิ่งที่คุณรู้ (something you know) คู่กับปัจจัยของการยืนยันตัวตนประเภทสิ่งที่คุณมี (something you have) ตัวอย่างการยืนยันตัวตนแบบสองปัจจัยที่มีประวัติยาวนานและทุกคนน่าจะรู้จักกันดี นั่นก็คือการกดเงินจากตู้ ATM นั่นเอง ผู้ใช้บริการต้องทำการสอดบัตร ATM (something you have) และกดรหัส ATM (something you know) ให้ถูกต้องเพื่อที่จะถอนเงินออกมาได้
ตัวอย่างถัดไปจะเป็นสิ่งที่ขาช้อปออนไลน์ต้องเคยได้พบเจอบ้างในการจ่ายเงินค่าสินค้าออนไลน์ผ่านบัตรเครดิต ที่หลังจากกรอกเลขบัตรเครดิต และเลขหลังบัตร (something you know) เรียบร้อยแล้ว จะปรากฏหน้าต่างเพื่อให้กรอกรหัสลับ SMS-OTP ที่ส่งให้ตามเบอร์โทรศัพท์ (something you have) ของลูกค้าตามที่ลงทะเบียนไว้
ตัวอย่างสุดท้ายที่อยากพูดถึงคือการ log in เข้าระบบที่ให้ใส่ username-password (something you know) และหลังจากนั้นระบบจะบอกให้ผู้ใช้บริการไปเปิด OTP application (something you have) บนอุปกรณ์ของผู้ใช้บริการเอง เช่น Google Authenticator หรือ Microsoft Authenticator เพื่อนำรหัสมากรอกในระบบอีกรอบ
เห็นหรือไม่ว่าการ 2FA เป็นสิ่งที่อยู่รอบๆตัวเรามานานแล้ว ไม่ใช่เรื่องใหม่หรือเรื่องที่เข้าใจยาก ซับซ้อน แต่อย่างใด ดังนั้นเพื่อความปลอดภัยในการทำธุรกรรมออนไลน์ที่มากขึ้น ผู้เขียนจึงขอสนับสนุนให้ทุกคนทำความเข้าใจ และใช้งาน 2FA กันให้อย่างแพร่หลาย
สำหรับผู้ที่สนใจอยากศึกษาข้อมูลเกี่ยวกับการใช้ปัจจัยของการยืนยันตัวตนประเภทสิ่งที่คุณมี (something you have)
เพิ่มเติมเรามีบทความเกี่ยวกับเรื่องนี้แยกโดยเฉพาะ สามารถอ่านได้ที่นี่เลยครับ
อ้างอิง
ETDA Recommendation, Digital Identity – Framework
NIST Special Publication Digital Identity Guidelines